Video: Your Phone app - Better Together (Oktober 2024)
Apper har ofte tilgang til data de ikke trenger, eller tillatelser til å bruke maskinvare og tjenester som ikke har noe å gjøre med det de gjør. En fersk undersøkelse viser at problemene er mye mer utbredt enn vi trodde.
HP-forskere undersøkte mer enn 2000 iOS-apper mellom oktober og november og fant ut at ni av ti apper hadde alvorlige sårbarheter, ifølge studien som ble utgitt forrige måned. Problemene varierte fra å ha for mange tillatelser, ukryptert data og overføre data usikkert. Spill trenger ikke å ha tilgang til adresseboken din, og det er virkelig ingen grunn til at vær-appen har tillatelse til å sende ut e-post. Hvis en app ikke beskytter dataene den har tilgang til, eller sikrer riktig hvordan den bruker de viktigste operativsystemkomponentene, blir enheten utsatt for angrep.
Mobile enheter er "hovedmål for angrep, med sårbare applikasjoner som gir tilgang til sensitive data, " sier Mike Armistead, visepresident og daglig leder for bedriftssikkerhetsproduktgruppen på HPs Fortify.
I studien brukte forskere HP Fortify on Demand automatisert binær og dynamisk analysemotor for å teste 2 107 applikasjoner, valgt fra 22 forskjellige kategorier, inkludert produktivitet og sosiale nettverk. Mens studien fokuserte på tilpassede bedriftsapplikasjoner, er det ikke en strekk å anta at lignende sikkerhets- og personvernproblemer er til stede i appene vi finner på Apple App Store eller Google Play.
Beskytter ikke data
Nesten alle - 97 prosent, av testede apper fikk tilgang til minst en “privat informasjonskilde”, for eksempel personlige adressebøker og sosiale mediesider, eller benyttet seg av Bluetooth- eller Wi-Fi-tilkobling. Det som er bekymringsfullt, er at svimlende 86 prosent av disse applikasjonene ikke hadde tilstrekkelige sikkerhetstiltak for å sikre at de private dataene ble beskyttet, fant studien.
Omtrent 75 prosent av applikasjonene brukte kryptering feil når de lagret data på mobile enheter, fant studien. Ubeskyttede data inkluderte passord, personlig informasjon, sesjonstokener, dokumenter, chat-logger og fotografier.
Det var betryggende å se at bare 18 prosent av applikasjonene som ble testet i studien, sendte brukernavn og passord over HTTP mens de gjenværende appene brukte SSL / HTTPS. Imidlertid hadde nesten 20 prosent av de som bruker sikker overføringsmodus feil SSL / HTTPS-implementeringer. Dette betyr at dataene fortsatt er sårbare for å bli sniffet av ondsinnede angripere.
Utviklere trenger å trappe opp
Generelt sett blir mobile operativsystemer - både Android og iOS - bedre om eksplisitt å beskrive hvilke tillatelser appen ber om. Det er også strengere retningslinjer for hvilken type dataapper kan få tilgang til. Imidlertid er byrden fremdeles på brukeren å se på listen over tillatelser, forstå implikasjonene og ta avgjørelsen om at forespørslene er urimelige.
Det bedre scenariet ville være hvis utviklere bygde sikkerhet og personvern i appene fra starten av. De må tenke på hvordan appene deres samhandler med andre apper og operativsystemet. De må vurdere hvordan appene deres sikkert får tilgang til data.
Bedrifter må bytte fra "raskt til marked", til "sikkert og raskt til marked, " sa HP.
